RTFM : Documentation de sysctl (partie IP) sous Linux
Posté par Tony Gencyl (page perso, ). Modéré le 11 octobre 2002.
Comme d'habitude pour ce genre de travail communautaire, l'auteur encourage les suggestions/corrections/critiques/encouragements en vue de l'amélioration de son travail.
![[en]](../images/en.png)
sysctl pour IP (2407 hits)
> Lire la dépêche (9 commentaires, moyenne: 8,6).
Vous avez demandé le commentaire #138717.
Run by 
Cette page a été générée par Templeet en 0.0559s (dont 0.0056 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Bravo!
Juste un mot pour féliciter l'auteur de cette référence très pratique pour les utilisateurs d'un noyau 2.4 un peu soucieux de leur gestion IP (tout le monde?).
DaFrog
[^]Re: Bravo!
tout le monde ?
Heuuuuuu non. :)
Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement. Et puis s'il fallait systématiquement plonger dans l'avalanche de détails techniques à chaque fois que l'on utilise une fonctionnalité du noyau, je serais encore en train de lire les sources de l'installeur de la Debian. :)
Ceci dit, le document a l'air intéressant, de même qu'il est utile de savoir qu'il existe. J'en aurais peut-être besoin un jour qui sait.
C'est ce que je pensais, vous êtes un petit con monsieur. Une merde de plus dans une immensité de caca virtuel. Vous êtes la honte du net francophone vous et vos copains. (Phill)
[^]Re: Bravo!
> Mon réseau fonctionne correctement, mes scripts iptable aussi. Ca me suffit largement.
C'est malheureusement le cas de la plupart des gens, or si tu ne sais pas ce qui se cache, par exemple dans "icmp_echo_ignore_broadcasts", tu peux être, à ton insu utilisé pour lancer une attaque smurf...
Moralité, la paranoïa est ton amie!
DaFrog
P.S. Pour ceux qui n'ont rien compris à mon blabla, lisez donc le paragraphe "icmp_echo_ignore_broadcasts" de l'url donnée en référence.
P.P.S. Une attaque smurf consiste en gros à usurper une adresse IP, puis à lancer des pings broadcast dont toutes les réponses vont surcharger la machine dont vous avez usurpé l'adresse...
[^]Re: Bravo!
Je vois à peu près le truc dont tu veux parler. Mais appremment, t'as plus d'avantages à désactiver cette option que d'inconvénients si j'ai bien compris. Donc, dans une bonne distrib (héhé, pas de nom, non), elle doit être désactivée par défaut.
Et puis de toute façon, edonkey prend toute la bande passante de ma ligne netissimo, ça en laisse pas beaucoup pour une attaque. :)
C'est ce que je pensais, vous êtes un petit con monsieur. Une merde de plus dans une immensité de caca virtuel. Vous êtes la honte du net francophone vous et vos copains. (Phill)
[^]Re: Bravo!
Note que si il veut filtrer les icmp, il peux le faire aussi avec iptables.
comme parametres plus sympa a connaitre il y a: tcp_ecn qui pose des problemes avec certains routeurs cisco (mais qui est par defaut a off maintenant -- ce qui n'etait pas le cas au debut du noyau 2.4)
pour le gigabit (pas dans le doc):
/proc/sys/net/core/rmem_max et wmem_max
et pour la securite:
tcp_syncookies
rp_filter
Bon tout ca est dans la doc de la kernelle, cf
/usr/src/linux/Documentation/sysctl/...
/usr/src/linux/Documentation/networking/ip-sysctl.txt
[^]TCP ECN
Accessoirement, il y a des branleurs qui configurent leur firewall comme des buses et utilisent un masque idiot pour détecter les connexions entrantes genre S/SFRAPUEW[1] au lieu de S/SFRA ou encore qui refusent les paquets TCP dont le champ des flags reservé n'est pas à 0, du coup les connexions d'un hôte qui gère l'ECN sont giclées, parce que les deux flags rajoutés pour l'ECN (ECE et CWR) font partie des flags réservés d'avant l'ECN.
D'ailleurs, il y a une RFC à ce sujet : ftp://ftp.rfc-editor.org/in-notes/rfc3360.txt(...)
[1] (F)IN, (S)YN, (R)ST, (P)USH, (A)CK, (U)RG, (E)CE, et C(W)R.
[^]Re: TCP ECN
Accessoirement, il y a des branleurs qui configurent leur firewall comme des buses et [...]
C'est pas très gentil pour les admins de l'ENS Lyon de dire des choses comme ça ;)
J'ai mis un temps fou à comprendre qu'il fallait retirer le tcp_ecn pour pouvoir atteindre l'ENS Lyon. Si d'une manière qui semble inexplicable vous n'arrivez pas à envoyer de mails à des gens de cette école, vous savez ce qui vous reste à faire !
(en espérant que ce post évitera à d'autres de subir la même galère que moi et que si des admins le lisent ils prennent les mesures adequates)